Freigeben über


Übersicht über die Personenauswahl (SharePoint Server 2010)

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Das Steuerelement Personenauswahl wird für das Suchen und Auswählen von Personen, Gruppen und Ansprüchen verwendet, wenn ein Website-, Listen- oder Bibliotheksbesitzer Berechtigungen in Microsoft SharePoint Server 2010 zuweist. In diesem Artikel wird das Steuerelement Personenauswahl und seine Funktionsweise erläutert sowie seine Beziehung zu Authentifizierungs- und Anspruchsanbietern. Darüber hinaus enthält der Artikel Erläuterungen für die Planung für die Personenauswahl. Informationen zur Konfiguration der Personenauswahl finden Sie unter Konfigurieren der Personenauswahl (SharePoint Server 2010).

Bevor Sie diesen Artikel lesen, sollten Sie sich mit den in Planen von Authentifizierungsmethoden (SharePoint Server 2010) und in Die Funktion von Ansprüchen (https://go.microsoft.com/fwlink/?linkid=208326&clcid=0x407) erläuterten Konzepten vertraut machen. Weitere Informationen zur anspruchsbasierten Authentifizierung finden Sie unter Anspruchsbasierte Identität in SharePoint (https://go.microsoft.com/fwlink/?linkid=196647&clcid=0x407).

Inhalt dieses Artikels

  • Verwendung und Vorteile

  • Architektur

  • Informationen zum Steuerelement "Personenauswahl"

  • Personenauswahl und Authentifizierung

  • Personenauswahl und Anspruchsanbieter

  • Konfigurieren der Personenauswahl

  • Verwenden der Personenauswahl mit mehreren Gesamtstrukturen und Domänen

  • Überlegungen zur Personenauswahl

Verwendung und Vorteile

Das Steuerelement Personenauswahl wird für die Auswahl von Benutzern, Gruppen und Ansprüchen verwendet, um Berechtigungen für Elemente wie Listen, Bibliotheken und Websites zu gewähren. Angenommen, in Ihrer Website befindet sich eine Dokumentbibliothek, die auf eine bestimmte Liste von Benutzern beschränkt sein soll. Wenn Sie die Berechtigungsseite der Bibliothek verwenden, um Benutzern Berechtigungsstufen für die Bibliothek zu gewähren, verwenden Sie das Steuerelement Personenauswahl entweder zur Eingabe von Benutzernamen und zur Überprüfung, dass die Benutzerkonten gültig sind oder um nach einem Namen oder dem Teil einer Zeichenfolge zu suchen und eine Liste von Benutzern, Gruppen oder Ansprüchen zurückzugeben, die dem eingegebenen Wert entsprechen. Weitere Informationen zu Berechtigungen finden Sie unter Planen von Websiteberechtigungen (SharePoint Server 2010).

Architektur

Das Steuerelement Personenauswahl ist eine zentrale Komponente von SharePoint Server 2010. Das Steuerelement stellt die grundlegende Funktionalität für das Finden und Auswählen von Benutzern, Gruppen und Ansprüchen bereit, um Berechtigungen in einer Website zuzuweisen. Die genauen Quellen dieser Benutzer, Gruppen und Ansprüche sind von der Authentifizierungsmethode der die Websitesammlung enthaltenden Webanwendung abhängig. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Personenauswahl und Authentifizierung weiter unten in diesem Artikel.

Die Personenauswahl wird unter Verwendung des Stsadm-Vorgangs setproperty auf der Zonenebene für eine Farm konfiguriert. Durch die Konfiguration der Einstellungen für das Steuerelement können Sie die Ergebnisse, die angezeigt werden, wenn ein Benutzer nach einem Benutzer, einer Gruppe oder nach Ansprüchen sucht, filtern und einschränken. Diese Einstellungen gelten für alle Websites innerhalb einer bestimmten Websitesammlung. Weitere Informationen zur Konfiguration der Personenauswahl finden Sie unter Konfigurieren der Personenauswahl (SharePoint Server 2010).

Hinweis

Für die Konfiguration der Personenauswahl stehen keine Windows PowerShell-Befehle zur Verfügung.

Wenn eine Webanwendung für die Verwendung der anspruchsbasierten Authentifizierung konfiguriert ist, verwendet die Personenauswahl Anspruchsanbieter, um im Dialogfeld Personen und Gruppen auswählen Benutzer, Gruppen und Ansprüche aufzulösen und anzuzeigen. Welche Informationen im Dialogfeld Personen und Gruppen auswählen angezeigt werden, ist von dem Anspruchsanbieter abhängig, der von der für die Webanwendung konfigurierten Authentifizierungsmethode verwendet wird. Weitere Informationen finden Sie unter Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Server 2010).

Informationen zum Steuerelement "Personenauswahl"

Das Steuerelement Personenauswahl besteht aus einem Textfeld und zwei Schaltflächen: Namen überprüfen und Durchsuchen. Die folgende Abbildung zeigt ein Beispiel des Steuerelements Personenauswahl.

Personenauswahl-Editor

Der Benutzer gibt einen Benutzernamen, einen Gruppennamen oder einen Anspruch (z. B. eine E-Mails-Adresse) in das Textfeld ein und klickt auf die Schaltfläche Namen überprüfen, um das Suchelement genauso aufzulösen, wie es eingegeben wurde. Wenn die Personenauswahl das Suchelement auflösen kann, wird der Name durch die aufgelöste Entität ersetzt. Wenn das Suchelement nicht genauso aufgelöst werden kann wie es eingegeben wurde, führt die Personenauswahl eine Suche aus. Wenn keine Suchergebnisse gefunden werden, oder wenn mehrere Suchergebnisse gefunden werden, wird das Suchelement rot unterstrichen, und die folgende Fehlermeldung wird angezeigt Es wurde keine exakte Übereinstimmung gefunden. Klicken Sie auf die Elemente, die nicht aufgelöst wurden, um weitere Optionen anzuzeigen. Wenn auf das Element geklickt wird, werden in einer Liste gegebenenfalls verfügbare Benutzer, Gruppen oder Ansprüche angezeigt, die der Abfrage entsprechen. Das Menü enthält auch eine Schaltfläche Entfernen, um den aufgelösten Benutzer, die aufgelöste Gruppe oder der aufgelöste Anspruch aus dem Textfeld zu entfernen sowie die Schaltfläche Weitere Namen, durch die das Dialogfeld Personen und Gruppen auswählen geöffnet wird.

Wenn der Benutzer auf die Schaltfläche Durchsuchen klickt, wird das Dialogfeld Personen und Gruppen auswählen angezeigt. Der Benutzer gibt einen vollständigen Benutzernamen, Gruppennamen oder einen Anspruch oder einen Teil von diesen in das Textfeld ein und drückt die EINGABETASTE. Die Ergebnisse der Abfrage werden im Dialogfeld angezeigt. Die Anspruchsanbieter, mit denen die Personenauswahl zusammenarbeitet, ermitteln die Abfrageergebnisse und die Art wie diese Ergebnisse im Dialogfeld angezeigt werden. Der Benutzer wählt eine aufgelöste Entität aus, klickt auf Hinzufügen und dann auf OK. Der ausgewählte Benutzer, die ausgewählte Gruppe oder der ausgewählte Anspruch wird anschließend dem Textfeld im Steuerelement Personenauswahl hinzugefügt.

Wenn eine Webanwendung für die Verwendung der Windows-Authentifizierung konfiguriert ist, können Sie die Ergebnisse einschränken, die Benutzern im Dialogfeld Personen und Gruppen auswählen angezeigt werden, indem Sie unter Verwendung des Stsadm-Vorgangs setproperty die Einstellungen für das Steuerelement Personenauswahl ändern. Beispielsweise können Sie die Personenauswahl so konfigurieren, dass nur Benutzer, Gruppen und Ansprüche zurückgegeben werden, die zu einer bestimmten Active Directory-Domäne gehören oder Mitglieder einer bestimmten Websitesammlung sind. Weitere Informationen zur Konfiguration des Steuerelements Personenauswahl finden Sie unter Konfigurieren der Personenauswahl (SharePoint Server 2010).

Personenauswahl und Authentifizierung

Die Personenauswahl verwendet die Authentifizierungsmethode, die von der Webanwendung verwendet wird, die die Websitesammlung enthält, von der aus die Abfrage erfolgt ist, um zu ermitteln, welche Ergebnisse dem Benutzer angezeigt werden sollen. Wenn die Webanwendung für die Verwendung der Windows-Authentifizierung im klassischen Modus konfiguriert wurde, behandelt SharePoint Server 2010 Benutzerkonten als AD DS-Konten (Active Directory-Domänendienste). Wenn die Webanwendung für die anspruchsbasierte Authentifizierung konfiguriert wurde, können Sie festlegen, ob die Windows-Authentifizierung, die formularbasierte Authentifizierung (FBA) oder die tokenbasierte SAML-Authentifizierung (Security Assertion Markup Language) verwendet werden soll. Im anspruchsbasierten Modus sucht die Personenauswahl auf der Grundlage des Anspruchsanbieters, der für die von der Webanwendung und der Zone verwendeten Authentifizierungsmethode festgelegt ist, nach Abfragen und löst diese auf. In den folgenden Abschnitten wird das Verhalten der Personenauswahl für die Authentifizierung im klassischen Modus und für die anspruchsbasierte Authentifizierung erläutert. Weitere Informationen finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010).

Klassischer Authentifizierungsmodus

Wenn die Windows-Authentifizierung im klassischen Modus verwendet wird, fragt das Steuerelement Personenauswahl Active Directory ab, um eine Liste von Benutzern, Gruppen oder Ansprüchen abzurufen, die dem im Textfeld eingegebenen Suchelement entsprechen. Sie können die Personenauswahl so konfigurieren, dass Active Directory mithilfe von LDAP-Abfragen (Lightweight Directory Access Protocol) abgefragt wird, sodass Sie benutzerdefinierte Active Directory-Filter anwenden, den Bereich von Suchabfragen einschränken und gesamtstruktur- und domänenübergreifende Suchen ausführen können.

Standardmäßig werden im Dialogfeld Personen und Gruppen auswählen die folgenden Felder angezeigt, wenn auf die Schaltfläche Durchsuchen geklickt wurde:

  • Anzeigename

  • Titel

  • Abteilung

  • E-Mail

  • Mobiltelefonnummer

  • Kontoinhaber

Die folgende Abbildung zeigt das Dialogfeld Personen und Gruppen auswählen wenn für die Webanwendung die Windows-Authentifizierung im klassischen Modus verwendet wird.

Personen und Gruppen auswählen - Klassischer Modus

Weitere Informationen zur Authentifizierung im klassischen Modus finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010). Informationen zur Erstellung einer Webanwendung, die die Authentifizierung im klassischen Modus verwendet, finden Sie unter Erstellen einer Webanwendung mit der klassischen Windows-Authentifizierung (SharePoint Server 2010).

Anspruchsbasierte Authentifizierung

Wenn die anspruchsbasierte Authentifizierung verwendet wird, verwendet die Personenauswahl den Anspruchsanbieter, der für die von der Webanwendung und der Zone verwendete Authentifizierungsmethode festgelegt wird, um eine Liste von Benutzern, Gruppen oder Ansprüchen abzurufen, die dem in das Textfeld eingegebenen Suchelement entsprechen. Weitere Informationen zu anspruchsbasierter Authentifizierung und Zonen finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010).

Wenn auf Durchsuchen geklickt wird, zeigt das Dialogfeld Personen und Gruppen auswählen standardmäßig auf der linken Seite eine Strukturansicht, die die von der Personenauswahl abgefragten Anspruchsanbieter aufführt. Auf der rechten Seite des Dialogfelds werden die Abfrageergebnisse angezeigt. Wenn die anspruchsbasierte Authentifizierung verwendet wird, werden die Ergebnisse in einer von zwei Ansichten angezeigt: Detaillierte Ansicht oder Listenansicht. Standardmäßig wird die Detaillierte Ansicht angezeigt.

Die folgende Abbildung zeigt das Dialogfeld Personen und Gruppen auswählen wenn für eine Webanwendung die Windows-Authentifizierung im anspruchsbasierten Modus verwendet wird.

Personen und Gruppen auswählen - Forderungsbasierter Windows-Modus

In der Detaillierten Ansicht werden die Abfrageergebnisse nach den Quellen gruppiert, in denen die Abfrageergebnisse gefunden wurden. Wenn beispielsweise ein Suchelement in einer SharePoint-Gruppe und in Active Directory gefunden wird, werden die Ergebnisse in einer Liste von SharePoint-Gruppen organisiert, gefolgt von einer Liste von Active Directory-Benutzern und -Gruppen.

In der Listenansicht werden die Ergebnisse in einer Liste zurückgegeben, die die folgenden Felder enthält:

  • Anzeigename

  • E-Mail-Adresse

  • Titel

  • Abteilung

  • Anwesenheit

  • Rufnummer (geschäftlich)

  • Ort

Sie können einen benutzerdefinierten Anspruchsanbieter erstellen, um zu steuern, welche Informationen angezeigt werden, und welche Ergebnisse als Antwort auf eine Abfrage vom Steuerelement Personenauswahl zurückgegeben werden. Wenn ein benutzerdefinierter Anspruchsanbieter auf dem Server registriert ist, können Sie diesen auch zur Verwendung in einer bestimmten Webanwendung und Zone konfigurieren. Dies bedeutet, dass ein benutzerdefinierter Anspruchsanbieter, der für nur eine Zone konfiguriert ist, im Dialogfeld Personen und Gruppen auswählen nur für Websites in dieser Zone angezeigt wird. Weitere Informationen zu benutzerdefinierten Anspruchsanbietern finden Sie unter Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Server 2010).

Hinweis

Auf der Website der Zentraladministration gibt die Personenauswahl Benutzer, Gruppen und Ansprüche von allen Anspruchsanbietern zurück, die in allen Webanwendungen in der Farm verwendet werden, unabhängig von der Webanwendung oder Zone, in der die Anspruchsanbieter konfiguriert sind.

Wenn Sie die tokenbasierte SAML-Authentifizierung verwenden, werden standardmäßig alle in das Textfeld eingegebenen Abfragen automatisch angezeigt, als wenn sie aufgelöst worden wären, unabhängig davon, ob es sich um gültige Benutzer oder Gruppen handelt. Wenn Ihre SharePoint Server 2010-Lösung die tokenbasierte SAML-Authentifizierung verwendet, sollten Sie die Erstellung eines benutzerdefinierten Anspruchsanbieters planen, der die benutzerdefinierte Suche, Namensauflösung und Listenfeatures implementiert. Weitere Informationen zu benutzerdefinierten Anspruchsanbietern finden Sie unter Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Server 2010).

Informationen zur Erstellung einer Webanwendung, die die anspruchsbasierte Authentifizierung verwendet, finden Sie unter Erstellen einer Webanwendung mit der Windows-Anspruchsauthentifizierung (SharePoint Server 2010). Informationen zur Konfiguration der anspruchsbasierten Authentifizierung für Webanwendungen finden Sie unter Konfigurieren der Forderungsauthentifizierung (SharePoint Server 2010).

Personenauswahl und Anspruchsanbieter

Wenn die anspruchsbasierte Authentifizierung verwendet wird, listet ein Anspruchsanbieter den Anzeigenamen von Benutzern, Gruppen und Ansprüchen in der Personenauswahl auf, löst diesen auf, sucht nach diesem und ermittelt ihn. Wenn Ihre Webanwendung die anspruchsbasierte Authentifizierung verwendet, müssen Sie sich für die Verwendung eines der Standardanspruchsanbieter entscheiden oder einen benutzerdefinierten Anspruchsanbieter erstellen, der den Geschäftsanforderungen Ihres Unternehmens entspricht.

Weitere Informationen zur Beziehung des Anspruchsanbieters zur Personenauswahl finden Sie unter Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Server 2010).

Konfigurieren der Personenauswahl

Die Informationen in diesem Abschnitt gelten nur für Webanwendungen, die die Windows-Authentifizierung im klassischen Modus oder im Anspruchsmodus verwenden.

Durch die Verwendung von Eigenschaftsnamen für den Stsadm-Vorgang setproperty können Sie die Personenauswahl so konfigurieren, dass Abfrageergebnisse gefiltert und die von der Personenauswahl als Quelle für diese Ergebnisse verwendeten Verzeichnisse eingeschränkt werden. Verwenden Sie den Stsadm-Vorgang getproperty, um anzuzeigen, welche Eigenschaftseinstellungen konfiguriert wurden. Weitere Informationen finden Sie unter "Peoplepicker": Stsadm-Eigenschaften (Office SharePoint Server 2007). Die Einstellungen für die Personenauswahl gelten für alle URL-Zonen einer Webanwendung.

Hinweis

Für die Konfiguration der Personenauswahl stehen keine Windows PowerShell-Befehle zur Verfügung.

In der folgenden Tabelle werden die Eigenschaften erläutert, die für die Konfiguration der Personenauswahl verwendet werden können.

Eigenschaftenname Beschreibung

Peoplepicker-activedirectorysearchtimeout

Konfiguriert das Zeitlimit, wenn eine Abfrage an Active Directory ausgegeben wird. Der Standard Zeitlimitwert beträgt 30 Sekunden. Weitere Informationen finden Sie unter "Peoplepicker-activedirectorysearchtimeout".

Peoplepicker-distributionlistsearchdomains

Beschränkt die Suche einer Verteilerliste auf eine bestimmte Teilmenge einer Domäne. Weitere Informationen finden Sie unter "Peoplepicker-distributionlistsearchdomains".

Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode

Legt fest, dass Active Directory nicht durchsucht wird, wenn der aktuelle Port die formularbasierte Authentifizierung verwendet. Weitere Informationen finden Sie unter "Peoplepicker-nowindowsaccountsfornonwindowsauthenticationmode".

Peoplepicker-onlysearchwithinsitecollection

Zeigt nur Benutzer an, die Mitglieder der Websitesammlung sind, wenn das Dialogfeld Personen und Gruppen auswählen verwendet wird. Weitere Informationen finden Sie unter "Peoplepicker-onlysearchwithinsitecollection".

Peoplepicker-peopleeditoronlyresolvewithinsitecollection

Zeigt nur Benutzer an, die Mitglieder der aktuellen Websitesammlung sind, wenn auf die Schaltfläche Namen überprüfen geklickt wird. Weitere Informationen finden Sie unter "Peoplepicker-peopleeditoronlyresolvewithinsitecollection": Stsadm-Eigenschaft (SharePoint Server 2010).

Peoplepicker-searchadcustomfilter

Ermöglicht einem Farmadministrator die Festlegung einer eindeutigen Suchabfrage. Weitere Informationen finden Sie unter "Peoplepicker-searchadcustomfilter".

Peoplepicker-searchadcustomquery

Ermöglicht dem Administrator die Festlegung der benutzerdefinierten Abfrage, die an Active Directory gesendet wird. Weitere Informationen finden Sie unter "Peoplepicker-searchadcustomquery".

Peoplepicker-searchadforests

Gestattet einem Benutzer das Suchen von einer zweiten Gesamtstruktur oder Domäne mit unidirektionaler Vertrauensstellung. Weitere Informationen finden Sie unter "Peoplepicker-searchadforests".

Peoplepicker-serviceaccountdirectorypaths

Ermöglicht einem Farmadministrator die Verwaltung einer Websitesammlung mit einer spezifischen Einstellung für eine Geschäftseinheit, die in der "Setsiteuseraccountdirectorypath"-Einstellung definiert ist. Weitere Informationen finden Sie unter "Peoplepicker-serviceaccountdirectorypaths".

Weitere Informationen zur Konfiguration der Personenauswahl finden Sie unter Konfigurieren der Personenauswahl (SharePoint Server 2010).

Verwenden der Personenauswahl mit mehreren Gesamtstrukturen und Domänen

Standardmäßig gibt die Personenauswahl nur Benutzer, Gruppen und Ansprüche aus der Domäne zurück, in der SharePoint Server 2010 installiert ist. Wenn die Personenauswahl Abfrageergebnisse aus mehreren Gesamtstrukturen oder Domänen zurückgeben soll, muss zwischen den Gesamtstrukturen und den Domänen entweder eine bidirektionale Vertrauensstellung bestehen, oder Sie müssen die Personenauswahl für die Verwendung eines verschlüsselten Kontos und Kennworts für eine unidirektionale Vertrauensstellung zwischen Gesamtstrukturen und Domänen konfigurieren. Weitere Informationen zu Vertrauensstellungen finden Sie unter Verwalten von Vertrauensstellungen (https://go.microsoft.com/fwlink/?linkid=207573&clcid=0x407).

Um die Personenauswahl für eine unidirektionale Vertrauensstellung zu konfigurieren, müssen Sie zunächst den Stsadm-Vorgang setapppassword verwenden, um das in der vertrauenswürdigen Gesamtstruktur oder Domäne zu verwendende Kennwort festzulegen, und anschließend müssen Sie die Peoplepicker-searchadforests-Eigenschaft für den setproperty-Vorgang verwenden, um die zu durchsuchende Gesamtstruktur oder Domäne festzulegen. Beachten Sie, dass die Einstellungen für die Personenauswahl zonenspezifisch für eine Webanwendung konfiguriert werden. Wenn Sie also in Ihrer Farm mehrere Gesamtstrukturen oder Domänen besitzen, müssen Sie die Konten und Kennwörter in einem einzigen Befahl für den setproperty-Vorgang zusammenfassen. Weitere Informationen finden Sie unter "Peoplepicker-searchadforests": Stsadm-Eigenschaft (Office SharePoint Server).

Überlegungen zur Personenauswahl

Die Planung für die Personenauswahl ist weitgehend davon abhängig, welche Gesamtstrukturen und Domänen Benutzer abfragen können sollen, und welche Benutzer, Gruppen und Ansprüche in den Abfrageergebnissen angezeigt werden sollen. Beachten Sie bei der Planung für die von den Benutzern abzufragenden Gesamtstrukturen und Domänen die folgenden Überlegungen:

  • Müssen Benutzer gesamtstruktur- und domänenübergreifende Abfragen ausführen?

  • Welches ist der DNS-Name für die einzelnen von den Benutzern abzufragenden Gesamtstrukturen und Domänen?

  • Verfügt Ihre Gesamtstruktur oder Domäne über eine unidirektionale oder bidirektionale Vertrauensstellung zu anderen Gesamtstrukturen oder Domänen?

  • Wenn Sie eine unidirektionale Vertrauensstellung verwenden, welche Anmeldeinformationen werden für die Abfrage der anderen Farmen oder Domänen verwendet?

Durch die Planung für Benutzer, Gruppen und Ansprüche, die in den Abfrageergebnissen in der Personenauswahl angezeigt werden sollen, wird die Konfiguration der Personenauswahl für die Rückgabe und Anzeige von Ergebnissen von Anspruchsanbietern erleichtert. Beachten Sie bei der Planung für Benutzer, Gruppen und Ansprüche, die in den Abfrageergebnissen angezeigt werden sollen, die folgenden Fragen:

  • Sollen auf die Abfrageergebnisse bestimmte LDAP-Filter angewendet werden?

  • Sollen die Abfrageergebnisse auf Benutzer, Gruppen oder Ansprüche in einer bestimmten Websitesammlung eingeschränkt werden?

  • Sollen die Abfrageergebnisse auf Benutzer, Gruppen oder Ansprüche in einer bestimmten Active Directory-Geschäftseinheit eingeschränkt werden?

See Also

Concepts

Planen von Authentifizierungsmethoden (SharePoint Server 2010)
Benutzerdefinierte Anspruchsanbieter für die Personenauswahl (SharePoint Server 2010)
Konfigurieren der Personenauswahl (SharePoint Server 2010)